当id-ad-caIssuers以accessInfoType出现时,acessLocaion字段描述了获得访问协议的形式。AcessLocaion字段定义为GeneralName,它可有几种形式:当信息可以通过http,ftp或ldap获得时,acessLocaion必须是一个uniformResourceIdentifier类型。当信息可以通过目录访问协议获得时,acessLocaion必须是一个directoryName类型。当信息可以通过电子邮件获得时,acessLocaion必须是一个rfc822Name类型。
5.1.2.2.20 主体信息访问SubjectInformationAccess
本项描述了证书主体如何访问信息和服务。如果主体是CA,则包括证书验证服务和CA策略数据,如果主体是用户,则描述了提供的服务的类型以及如何访问它们,在这种情况下,扩展域/项中的内容在所支持的服务协议的说明中定义。这个扩展项必须定义为非关键的。
id-pe-SubjectInformationAccess OBJECT IDENTIFIER ::={ id-pe 11 }
SubjectInfoAccessSyntax ::=
SEQUENCE SIZE (1..MAX) OF AccessDescription AccessDescription ::= SEQUENCE {
accessMethod OBJECT IDENTIFIER, accessLocation GeneralName } 5.1.3 签名算法域(SignatureAlgorithm)
该域包含CA系统颁发该证书所使用的密码算法标识符,应与基本证书域中的签名算法所标识的签名算法相同,可选参数的内容完全依赖所标识的具体算法。 5.1.4 签名值域(SignatureValue)
该域保存对基本证书域进行数字签名的结果,经过ASN.1 DER编码的基本证书域作为数字签名算法的输入,签名的结果按照ASN.1编码成BIT STRING类型并保存在签名值域。 5.2 电子政务个人数字证书格式 5.2.1 概述
电子政务个人数字证书指面向政务业务所涉及到的计算机终端用户(如各级政府部门工作人员、经办人员、公众等)发放的证书。 5.2.2 电子政务个人数字证书基本证书域
电子政务个人数字证书基本证书域由基本域和扩展域组成。 5.2.2.1 电子政务个人证书基本域
见5.1.2.1章节。
5.2.2.2 电子政务个人证书扩展域
电子政务个人证书扩展域可包含如下扩展项:
a) 机构密钥标识符AuthorityKeyIdentifier b) 主题密钥标识符SubjectKeyIdentifier c) 密钥用法KeyUsage
d) 增强型密钥用法ExtendedKeyUsage e) 主题可选替换名称SubjectAlternativeName f) 颁发者可选替换名称IssuerAlternativeName
17
g) 主题目录属性SubjectDirectoryAttributes h) 基本限制BasicConstraints
i) 证书撤销列表分发点CRLDistributionPoints j) 最新证书撤销列表FreshestCRL k) 颁发机构信息访问AuthorityInfoAccess l) 主题信息访问SubjectInformationAccess m) 个人身份证标识码IdentifyCardNumber n) 个人社会保险号InsuranceNumber
5.2.3 电子政务个人证书模板定义
电子政务个人证书包含如下扩展项:
a) 基本限制BasicConstraints b) 密钥用法KeyUsage
c) 增强型密钥用法ExtendedKeyUsage d) 颁发机构密钥标识符AuthorityKeyIdentifier e) 证书撤销列表分发点CRLDistributionPoints f) 颁发机构信息访问AuthorityInfoAccess g) 主题密钥标识符SubjectKeyIdentifier
电子政务个人签名证书密钥用法(KeyUsage)扩展域子项可为: a) 数字签名(digitalSignature)
b) 不可否认(nonRepudiation)
电子政务个人加密证书密钥用法(KeyUsage)扩展域子项可为: a) 密钥加密(keyEncipherment)
b) 数据加密(dataEncipherment)
电子政务个人证书增强型密钥用法(ExtendKeyUsage)扩展域子项可为: a) 客户端认证(ClientAuth)
5.2.4 电子政务个人数字证书格式
电子政务个人数字证书的发放对象包括政务部门工作人员和参与电子政务活动的社会公众人员等。
5.2.4.1 电子政务部门工作人员数字证书
数字证书的大小一般不应超过4K字节,请在设定数字证书各项取值的时候予以注意。 证书域名 Version Serial Number Signature 含义 版本号 序列号 签名算法 18
说明 字段内容(示例) 表示X.509证书版本 V3 由证书颁发机构指定,参见 5.1.2.1.2章节 遵循国家密码主管部门的要 求
CN Issuer 颁发者 名称(CN) 证书颁发CA的名称 例如:电子政务电子认证基础设施 CN 签发日期,年月日+时分秒 起始日期+有效期,年月日+时分秒 例如:吴永胜 从1级组织机构名称到10级组织机构名称均为可选,具体按照政务部门实际组织层级结构进行定义。例如:O C (O) 国家(C) notBefore 有效期起始日期 Validity 有效期限 notAfter 有效期终止日期 名称(CN) 个人姓名 E OU OU 邮件地址 10级组织机构名称 ………… Subject 主题 OU 1级组织机构名称 ou=内蒙古自治区公安厅,ou=呼和浩特市公安局,ou=交警支队,ou=事故科 O C Subject Information Public Key 公钥 省部级名称 C 必填 CN 遵循国家密码主管部门的要求 主题公钥信息 BasicConstraints 基本限制 详细定义见表示证书持有者是否是认证基本限制 结点 basicConstraints 19
扩展域 密钥用法 个人签名证书密钥用法(KeyUsage)扩展域子项为: 数字签名(digitalSignature) KeyUsage 不可否认(nonRepudiation) 详细定义见密钥用法 个人加密证书密钥用法keyUsage (KeyUsage)扩展域子项为: 密钥加密(keyEncipherment) 数据加密(dataEncipherment) 增强型密钥用法,包括扩展域: 客户端认证(clientAuth) 详细定义见增强型密钥用法extendedKeyUsage 详细定义见AuthorityKeyIdentifier 颁发机构密钥标识符 机构密钥标颁发机构公钥的hash值 识符 authorityKeyIdentifier 详细定义见CRLDistributionPoints 证书撤销列表分CRL发布点,可以为多个值 发点 证书撤销列表分发点 CRLDistributionPoints 详细定义见颁发机构信息访问AuthorityInfoAccess 详细定义见主题密钥标SubjectKeyIdentifier 主题密钥标识符 本证书公钥的hash值 识符 subjectKeyIdentifier 该域包含CA系统颁发该证书所遵循国家密码主管部门的要 使用的密码算法求 标识符 颁发机构对证书基本信息的数字签名 ExtendedKeyUsage 增强型密钥用法 AuthorityInfoAccess 颁发机构信息访颁发机构的信息URL,可以问 为多个值 SignatureAlgorithm Issuer’s Signature
签名值 数字签名值 20
5.2.4.2 社会公众数字证书
数字证书的大小一般不应超过4K字节,请在设定数字证书各项取值的时候予以注意。 证书域名 Version Serial Number Signature 含义 版本号 序列号 签名算法 说明 表示X.509证书版本 由证书颁发机构指定,参见5.1.2.1.2章节 遵循国家密码主管部门的要求 CN Issuer 颁发者 O C 有效期限 notBefore notAfter 名称(CN) (O) 国家(C) 字段内容(示例) V3 证书颁发CA的名称 证书颁发CA的组织机构名称 CN 有效期起始日签发日期,年月日+时期 分秒 有效期终止日起始日期+有效期,年期 月日+时分秒 例如:李军 例如:lj@@kejifz.com 从1级地域名称到10级地域名称均为可选,按照实际的证书持有人所属地域名称进行定义。例如:ou=海淀区,ou=知春路10008号,ou=知春里小区,ou=501号楼3单元307 Validity 名称(CN) 个人姓名 E OU OU Subject 主题 OU 1级地域名称 邮件地址 10级地域名称 ………… O C Subject Public Information BasicConstraints KeyUsage Key 公钥 基本限制 密钥用法 省、自治区、直必填 辖市 C CN 遵循国家密码主管部门的要求 详细定义见基本限制 basicConstraints 详细定义见密钥用法主题公钥信息 表示证书持有者是否是认证结点 个人签名证书密钥用法(KeyUsage)扩展域子项为: keyUsage 21
